SMS Phishing คืออะไร?

SMS phishing หรือ“ Smishing” คือการโจมตีแบบฟิชชิงบนมือถือที่กำหนดเป้าหมายเหยื่อผ่านช่องทางการส่งข้อความ SMS ไม่ใช่ทางอีเมล วิวัฒนาการตามธรรมชาติของปรากฏการณ์ฟิชชิ่งการโจมตีแบบ Smishing พยายามหลอกลวงผู้ใช้มือถือด้วยข้อความปลอมที่มีลิงก์ไปยังไซต์ที่ดูถูกต้อง แต่หลอกลวงไปไซต์ปลอม เพื่อพยายามขโมยข้อมูล และแพร่มัลแวร์บนอุปกรณ์เคลื่อนที่หรือทำการฉ้อโกง

แม้ว่าการโจมตีจะเข้าสู่การส่งข้อความของผู้ใช้มานานกว่าทศวรรษแล้ว แต่เทคนิคดังกล่าวยังอยู่ใต้เรดาร์โดยมีปริมาณการโจมตีทั่วโลกค่อนข้างน้อยในช่วงหลายปีที่ผ่านมา อย่างไรก็ตามสิ่งนี้กำลังเปลี่ยนแปลงไปเมื่ออาชญากรไซเบอร์พยายามแสวงหาผลกำไรจากความคล่องตัวและแนวโน้มการทำงานระยะไกลในปัจจุบัน

ประมาณ 81% ขององค์กรกล่าวว่าผู้ใช้ของพวกเขาต้องเผชิญกับการโจมตีที่รุนแรงอย่างน้อยระดับหนึ่งในปี 2019 ก่อนที่ COVID-19 จะโจมตีปริมาณการโจมตีได้พุ่งสูงขึ้น ระหว่างไตรมาสสุดท้ายของปี 2019 ถึงไตรมาสแรกของปี 2020 การโจมตีแบบฟิชชิงบนมือถือซึ่งรวมถึงการโจมตีด้วยสมิชชิ่งเพิ่มขึ้น 37% ในขณะที่ยุคนี้กระตุ้นให้เกิดคลื่นของการทำงานระยะไกลและการพึ่งพาอุปกรณ์พกพาที่เพิ่มขึ้นเป็นเท่าตัว และก็ยังคงเพิ่มขึ้นอย่างต่อเนื่อง การศึกษาชิ้นหนึ่งรายงานว่ามีการเพิ่มขึ้น 29% ในระหว่างเดือนมีนาคมถึงกรกฎาคม 2020

“บนหน้าจอขนาดเล็กและด้วยความสามารถที่ จำกัด ในการตรวจสอบลิงก์และไฟล์แนบก่อนที่จะคลิกพวกเขาผู้บริโภคและผู้ใช้ทางธุรกิจมีความเสี่ยงในการฟิชชิ่งมากขึ้นกว่าเดิม” Phil Hochmuth จาก IDC กล่าว “ในโลกที่ต้องใช้อุปกรณ์เคลื่อนที่เป็นอันดับแรกเมื่อการทำงานจากระยะไกลกลายเป็นเรื่องปกติการป้องกันเชิงรุกจากการโจมตีเหล่านี้เป็นสิ่งสำคัญ”

ประเภททั่วไปของการโจมตี Smishing

กลยุทธการโจมตีอาชญากรไซเบอร์ได้เติบโตขึ้นอย่างเห็นได้ชัดเนื่องจากการส่งข้อความในชีวิตของผู้ใช้มือถือแพร่หลายมากขึ้นในช่วงไม่กี่ปีที่ผ่านมา อย่างไรก็ตามผู้ไม่ประสงค์ดีมักถูกดึงดูดให้มีการตีกันมากขึ้น เนื่องจากความแตกต่างในวิธีที่ผู้ใช้โต้ตอบกับการส่งข้อความ SMS เมื่อเทียบกับอีเมล

สำหรับข้อความ และอัตราการเปิดของพวกเขานั้นสูงกว่าอีเมลมาก จากข้อมูลของ MobileMarketer.com ผู้รับอีเมลเปิดข้อความเพียง 20% แต่ผู้รับ SMS จะเปิดข้อความถึง 98%

ด้วยเหตุนี้แบรนด์ใหญ่ ๆ จึงใช้ข้อความตัวอักษรมากกว่าอีเมลเพื่อทำสิ่งต่าง ๆเช่น ข้อความทางการตลาดการยืนยันการจัดส่งและการแจ้งเตือนบัญชี สิ่งที่เพิ่มเข้ามาในการผสมผสานคือการตั้งค่าให้ SMS เป็นช่องทางสำหรับการตรวจสอบสิทธิ์แบบหลายปัจจัยซึ่งหมายความว่าผู้ใช้มือถือจำนวนมากคุ้นเคยกับการโต้ตอบกับข้อความไม่ทางใดก็ทางหนึ่งในระหว่างขั้นตอนการเข้าสู่ระบบของระบบคลาวด์การค้าปลีกและการธนาคารจำนวนมาก บัญชี

ทั้งหมดนี้ก่อให้เกิดแหล่งเพาะพันธุ์ที่สำคัญสำหรับการโจมตีผู้โจมตีเพื่อทำการฉ้อโกงเนื่องจากผู้ใช้มีส่วนร่วมอย่างมากและมีแนวโน้มที่จะดำเนินการอย่างรวดเร็วกับข้อความส่วนใหญ่ที่มาถึง คนเลวใช้ประโยชน์จากความรู้สึกฉับไวและปรับแต่งการโจมตีเพื่อเลียนแบบวิธีต่าง ๆ ที่แบรนด์โต้ตอบกับลูกค้าเป็นประจำผ่าน SMS

กลวิธีฟิชชิง SMS ทั่วไป

ข้อความที่น่ากลัวบางประเภทที่พบบ่อย ได้แก่ :

• การแจ้งเตือนการจัดส่งปลอม
• การเลียนแบบการสนับสนุนด้านเทคนิค
• คำเตือนยอดเงินในบัญชีธนาคารปลอม
• ประกาศบริการลูกค้าปลอม
• การแจ้งเตือนรางวัลสำหรับรางวัลที่สร้างขึ้น
• ข้อความติดตามการติดเชื้อปลอมของ Covid-19

ข้อความเหล่านี้ใช้เพื่อหลอกลวงให้ผู้ใช้ดาวน์โหลดแอปปลอม หรือ เปิดลิงก์ไปยังไซต์บนอุปกรณ์เคลื่อนที่ แล้วขโมยรหัสผ่านหรือหลอกลวง แต่ในความจริงที่ว่าลิงก์ที่สั้นลงเป็นเรื่องธรรมดาสำหรับช่องทางการสื่อสาร SMS แบรนด์ใหญ่ ๆ ใช้ตลอดเวลา

สิ่งนี้ช่วยในการหลอกลวงเนื่องจากข้อความที่ไม่น่าเชื่อถือจำนวนมากใช้ URL เล็ก ๆ เพื่อซ่อนโดเมนหลอกลวงจริงจากผู้ใช้ที่ไม่สงสัย บางครั้งผู้โจมตียังใช้เทคนิคที่เรียกว่าการเติม URL ซึ่งจะบดบังปลายทางที่แท้จริงของลิงก์ด้วยชุดยัติภังค์ Padding จะใส่ URL ที่ถูกต้องก่อนจากนั้นจึงใส่ขีดกลางตามด้วยโดเมนที่เป็นอันตรายเพื่อให้มองเห็นเฉพาะส่วนที่ถูกต้องของโดเมนในแถบที่อยู่ขนาดเล็กบนอุปกรณ์เคลื่อนที่

Smishers ยังใช้การซ้อนทับหน้าจอที่ปรากฏขึ้นเมื่อเปิดแอปบางแอป เช่นแอปธนาคารเพื่อจำลองการยืนยันการเข้าสู่ระบบและช่วยข้ามขั้นตอนการตรวจสอบสิทธิ์ด้วยสองปัจจัยที่แบรนด์ใหญ่ ๆ ใช้กันทั่วไป เมื่อผู้ใช้ได้รับรหัสเข้าสู่ระบบที่ถูกต้องจากแบรนด์ผู้ใช้จะป้อนรหัสดังกล่าวลงในภาพซ้อนทับแทนที่จะเป็นตัวแอป

ความสำคัญของการตระหนักถึงความปลอดภัย

แม้ว่าการโจมตีจะไม่ใช่การโจมตีใหม่ แต่ก็ยังไม่เป็นที่รู้จัก และไม่คาดคิดโดยผู้ใช้ การศึกษาล่าสุดแสดงให้เห็นว่าในขณะที่ 61% ของผู้ใช้ในองค์กรรับรู้ว่าฟิชชิงคืออะไรมีเพียง 30% เท่านั้นที่รู้เกี่ยวกับเทคนิคการตี เนื่องจากองค์กรส่วนใหญ่ยังไม่สอนผู้ใช้เกี่ยวกับอันตรายจากการตี ในขณะที่การจำลองฟิชชิงกลายเป็นส่วนหนึ่งของการฝึกอบรมการรับรู้ด้านความปลอดภัยมากขึ้นเรื่อย ๆ แต่การศึกษาพบว่ามีโปรแกรมการรับรู้เพียงประมาณหนึ่งในสี่เท่านั้นที่รวมถึงการจำลองแบบ smishing เข้าด้วยกัน

ไม่ว่าจะเกิดขึ้นบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนบุคคลที่สามารถเข้าถึงข้อมูลขององค์กรได้ก็ทำให้ข้อมูลทางธุรกิจ และทรัพย์สินตกอยู่ในความเสี่ยง ไม่เพียง แต่ผู้โจมตีสามารถกำหนดเป้าหมายบัญชีคลาวด์ขององค์กรผ่านโครงร่างปลอมของพวกเขาเท่านั้น แต่หลายคนยังตั้งเป้าที่จะเข้าครอบครองฟังก์ชันของอุปกรณ์ผ่านเครื่องมือการเข้าถึงระยะไกล และมัลแวร์อื่น ๆ อุปกรณ์ที่ถูกบุกรุกเหล่านี้ที่เชื่อมต่อกับเครือข่ายขององค์กรจะกลายเป็นความเสี่ยงของทั้งองค์กร

พนักงานควรได้รับการศึกษาเกี่ยวกับวิธีการทำงานของ smishing และได้รับการฝึกอบรมให้ระบุประเภทของข้อความฟิชชิ่งบนมือถือ โปรแกรมการให้ความรู้อาจต้องการเน้นย้ำว่าวิธีหนึ่งที่ผู้ใช้สามารถป้องกันข้อความที่ไม่ได้ร้องขอได้คือการระมัดระวังเกี่ยวกับสถานที่ที่พวกเขาแจกจ่ายหรือเผยแพร่หมายเลขโทรศัพท์ไร้สายของตน ในขณะที่ผู้ใช้มีความชำนาญในการโจมตีพวกเขาควรได้รับการสนับสนุนให้รายงานความพยายามที่น่าสงสัยไปยังผู้ให้บริการระบบไร้สาย อุตสาหกรรมระบบไร้สายได้กำหนดหมายเลขรหัสย่อสากลไว้ให้ผู้ใช้สามารถส่งต่อข้อความที่กระทำผิดไปยัง 7726 (SPAM) เพื่อรายงานความพยายามที่อาจเกิดขึ้น

ธุรกิจสามารถทำอะไรได้บ้างเพื่อป้องกันการโจมตีแบบ Smishing

แพลตฟอร์มมือถือไม่ได้มาพร้อมกับเทคโนโลยีป้องกันฟิชชิ่งที่รวมอยู่ในแอปพลิเคชันการส่งข้อความ SMS และการป้องกันปลายทางแบบดั้งเดิมที่ระบุและบล็อกฟิชชิงอีเมลนั้นไม่ได้สร้างขึ้นโดยคำนึงถึงการโจมตี ด้วยเหตุนี้ธุรกิจจึงต้องใส่การป้องกันความปลอดภัยมือถือแบบพิเศษที่สร้างขึ้นเพื่อปกป้องอุปกรณ์มือถือจากเวกเตอร์ภัยคุกคามเช่นการโจมตีอุปกรณ์แอปพลิเคชันเครือข่ายมือถือและการโจมตีทางวิศวกรรมสังคม ตามหลักการแล้วควรรวมโซลูชันเข้ากับซอฟต์แวร์การจัดการและการป้องกันปลายทางที่เหลือโดยมีการจัดการแบบรวมศูนย์และการแก้ไขอัตโนมัติเพื่อแบ่งเบาภาระของทีมไอทีหรือทีมรักษาความปลอดภัย

Ref : https://cybersecurity.att.com/blogs/security-essentials/sms-phishing-explained-what-is-smishing

Translate : B.